如何仅修改一个参数的 modsecurity 规则操作？

我找到了解决方案。我决定获取参数 Par1 的值，对其进行 base64 解码并记录在“TX”变量中。在事务完成之前，此变量将可用。有两种方法可以做到这一点。

1.1。使用 lua：

• 创建extract_param.lua具有相似内容的文件：

  function main()
      -- Retrieve par1
      local par1 = m.getvar("ARGS.Par1", {"base64DecodeExt"});
      if par1 == nil then
          m.log(3, "no Par1 in request.");
          return nil;
      end
      m.log(3, "Par1 base64-decoded:" ..par1.. ".");
      m.setvar("TX.Par1",par1);
  return nil;
  end
  

• 在加载 CRS之前添加SecRuleScript指令：

  SecRuleScript path/to/script/extract_param.lua phase:2,log
  

1.2. 使用标准的“setvar”功能。这个方法比较简单，我用过。但后来我找到了它（在这里），并决定也介绍一下 lua。

• 在加载 CRS之前添加以下规则：

  SecRule ARGS:par1 "^(.*)$" "log, pass, id:22, phase:2, t:base64DecodeExt, setvar:tx.par1=%{MATCHED_VAR}"
  

2.加载CRS后添加一堆SecRuleUpdateTargetByTag指令：

SecRuleUpdateTargetByTag 'OWASP_CRS/WEB_ATTACK/SQL_INJECTION' "!ARGS:par1|TX:par1"

更新多个 CRS 规则的操作并不容易，因为您给出的原因没有列出每个规则 ID。

可以使用SecRuleUpdateTargetByTag更新与一组规则匹配的变量，但不能更新操作，因为没有 SecRuleUpdateActionByTag （只有一个SecRuleUpdateActionById），但老实说，即使您只想转换 1 个变量给你带来麻烦。我同意多重匹配在这里可能不是正确的答案，即使你可以这样做。

最终我会推荐的是：

1. 保持规则不变，基本上忽略 CRS 的 base64 par1 变量（请注意，如果 base64 编码产生误报，您可能需要更新某些规则以忽略某些规则的此参数）。

2. 确定 par1 XML 变量的攻击向量，并为此编写（或从 CRS 复制）较小的规则子集，并使用 base64Decode 转换。即使在 base64 解码时，我想 XML 仍然会产生很多误报，所以你可能不想在它们上运行完整的 CRS。

祝你好运！